[GTER] Aplicação para Source-Based Remotely Triggered Black Hole Filtering
DMM Listas
dmm.listas at gmail.com
Mon Jun 22 13:39:13 -03 2015
Olá,
Algum dos colegas conhece uma aplicação open source (difícil, mas não custa
tentar) para identificação dinâmica de endereços atacantes e que possa ser
utilizado com o recurso *Source-Based* Remotely Triggered Black Hole
Filtering?
Achei um PDF da Cisco que fala sobre o uso deste recurso, o qual utiliza a
checagem de URPF para bloqueio de endereços de origem. PDF:
http://www.cisco.com/web/about/security/intelligence/blackhole.pdf
Pelo que entendi do PDF, o bloqueio é feito com a inserção manual de rotas
no Trigger Router. O que eu gostaria de fazer era identificação dinâmica
desses endereços baseado em thresholds definidos e o envio deles via BGP
para as caixas de borda de modo que o URPF possa atuar.
A aplicação que consegui localizar que chega mais próximo do que eu
pretendo é chamada FastNetMon, mas esta não faz a identificação por origem,
apenas por destino (https://github.com/FastVPSEestiOu/fastnetmon/issues/225)
e utilizando anúncios BGP com community black-hole para o bloqueio. No meu
caso, isso não resolve o problema, haja visto que a aplicação atacada
ficará indisponível.
Já tenho proteção de ataque volumétrico na operadora. Preciso agora de uma
aplicação que possa atuar de forma mais granular.
Desde já, agradeço.
[]'s.
More information about the gter
mailing list